●王艷瑋，王閃閃（陜西師范大學(xué) 國(guó)際商學(xué)院；西安 710062）

BS7799是頒布較早且在包括我國(guó)在內(nèi)的世界范圍內(nèi)受到普遍關(guān)注和應(yīng)用的信息安全管理標(biāo)準(zhǔn)。BS7799-1[1]和 BS7799-2[2]已經(jīng)被國(guó)際標(biāo)準(zhǔn)化組織ISO采納，成為ISO/IEC27000系列信息安全標(biāo)準(zhǔn)族的主要標(biāo)準(zhǔn)之一。

我國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布的GB17859-1999[3]《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》，是建立安全等級(jí)保護(hù)制度、實(shí)施安全等級(jí)管理的重要基礎(chǔ)性國(guó)家標(biāo)準(zhǔn)。目前已發(fā)布GB22239、GB22240、GB20269、GB20270、GB20271等配套標(biāo)準(zhǔn)十余個(gè)。

本文對(duì)BS7799和等級(jí)保護(hù)系列標(biāo)準(zhǔn)進(jìn)行對(duì)比研究，旨為等級(jí)保護(hù)系列標(biāo)準(zhǔn)的進(jìn)一步完善提供建議。

1 標(biāo)準(zhǔn)概述

1.1 BS7799

BS7799由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI） 于1995年頒布，分為兩部分。BS7799-1是信息安全管理實(shí)施細(xì)則，主要提供了信息安全最佳實(shí)踐的匯總集，最初從10個(gè)方面定義了127項(xiàng)控制措施。BS7799-1幾經(jīng)改版，最終轉(zhuǎn)化為ISO/IEC17799：2005，2007年編號(hào)改為ISO/IEC27002，其內(nèi)容也增加到11個(gè)方面的133項(xiàng)控制措施。BS7799-2是建立信息安全管理體系（ISMS）的管理要求和規(guī)范，指導(dǎo)相關(guān)人員如何去應(yīng)用BS7799-1。BS7799-2規(guī)定了組織基于PDCA模型建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS的總要求及相關(guān)文件要求，并規(guī)定了在這個(gè)過程中的管理職責(zé)和管理評(píng)審要求。

1.2 等級(jí)保護(hù)系列標(biāo)準(zhǔn)

我國(guó)等級(jí)保護(hù)系列標(biāo)準(zhǔn)主要包括GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》及其配套的定級(jí)指南、基本要求、實(shí)施指南、測(cè)評(píng)要求等標(biāo)準(zhǔn)。其中GB17859是這一系列標(biāo)準(zhǔn)中的基礎(chǔ)性標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)共包含5個(gè)安全等級(jí)，定義了不同等級(jí)信息系統(tǒng)的安全保護(hù)能力，從第一級(jí)至第五級(jí)對(duì)信息系統(tǒng)安全保護(hù)能力的要求逐漸增強(qiáng)。等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)主要規(guī)定了對(duì)不同等級(jí)信息系統(tǒng)的保護(hù)能力的要求，分為技術(shù)和管理兩個(gè)方面。等級(jí)保護(hù)定級(jí)指南主要介紹了定級(jí)原理、定級(jí)方法和等級(jí)變更的內(nèi)容。等級(jí)保護(hù)實(shí)施指南標(biāo)準(zhǔn)為等級(jí)保護(hù)的實(shí)施給出了詳細(xì)的說明和指導(dǎo)，包括從信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行與維護(hù)到信息系統(tǒng)終止的每一個(gè)過程。信息安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則提出了為驗(yàn)證計(jì)算機(jī)信息系統(tǒng)是否滿足信息安全等級(jí)保護(hù)必須執(zhí)行的測(cè)評(píng)工作要求，主要針對(duì)安全技術(shù)和安全管理各個(gè)層面的安全控制分別提出了不同安全等級(jí)的測(cè)試評(píng)估要求。

2 BS7799與我國(guó)等級(jí)保護(hù)系列標(biāo)準(zhǔn)的比較研究

本文主要從標(biāo)準(zhǔn)涉及的內(nèi)容、發(fā)展歷程、實(shí)施流程、涵蓋范圍、實(shí)施對(duì)象及綜合應(yīng)用現(xiàn)狀等五個(gè)方面對(duì)兩類標(biāo)準(zhǔn)進(jìn)行比較研究。

2.1 發(fā)展歷程

BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)于1995年頒布的針對(duì)信息安全管理制定的一個(gè)標(biāo)準(zhǔn)。BS7799最初是由英國(guó)貿(mào)工部（DTI）立項(xiàng)，經(jīng)業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實(shí)施和測(cè)量有效信息安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。1995年，《BS7799-1：1995》首次出版，1998年，BSI頒布了《信息安全管理體系規(guī)范》（BS7799-2：1998）。隨著BS7799在越來越多的國(guó)家得到廣泛的認(rèn)可與應(yīng)用，2000年12月，國(guó)際標(biāo)準(zhǔn)化組織ISO/IEC JTC 1/SC27工作組認(rèn)可《BS7799-1：1999》，正式將其轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，即《信息技術(shù)—信息安全管理實(shí)施細(xì)則》（ISO/IEC 17799：2000）。2005年 6月15日修訂版《ISO/IEC17799：2005》發(fā)布，原來版本廢止。同時(shí) BS7799-2轉(zhuǎn)化為 ISO/IEC27001，于 2005年 10月15日正式發(fā)布。

GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》于1999年9月13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于2001年1月1日起實(shí)施。GB17859-1999的制定主要參考了美國(guó)的TCSEC。1983年美國(guó)國(guó)防部首次公布了《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC），這是IT歷史上的第一個(gè)安全評(píng)估標(biāo)準(zhǔn)。TCSEC主要規(guī)范了計(jì)算機(jī)應(yīng)用系統(tǒng)和產(chǎn)品的安全要求，側(cè)重于對(duì)保密性的要求。它把安全分為安全策略、責(zé)任、保證和文檔4個(gè)方面和8個(gè)安全級(jí)別，著重點(diǎn)是基于大型計(jì)算機(jī)系統(tǒng)的機(jī)密文檔處理應(yīng)用方面的安全要求。GB17859吸取了TCSEC分等級(jí)保護(hù)的基本思想，并根據(jù)我國(guó)的信息安全需要進(jìn)行了改進(jìn)和完善，把計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力精簡(jiǎn)為更具可操作性的5個(gè)等級(jí)。

從兩個(gè)標(biāo)準(zhǔn)的產(chǎn)生背景可以看出，BS7799旨在建立可供貿(mào)易伙伴間彼此信任的可有效開發(fā)、實(shí)施和測(cè)量信息安全慣例的通用框架，主要應(yīng)用于工商業(yè)企業(yè)及大中小型組織。BS7799側(cè)重于管理要求，雖然后來的改版充分考慮了信息處理技術(shù)的發(fā)展，但BS7799中沒有涉及對(duì)系統(tǒng)和產(chǎn)品技術(shù)指標(biāo)的評(píng)估，總體上是偏重于管理的信息安全標(biāo)準(zhǔn)。GB17859-1999是為了從整體上形成多級(jí)信息系統(tǒng)安全保護(hù)體系，提高我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)水平。由公安部提出并組織制定的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，主要借鑒了TCSEC的分等級(jí)保護(hù)思想，對(duì)重要信息系統(tǒng)進(jìn)行重點(diǎn)保護(hù)。GB17859的文本中更明確說明該標(biāo)準(zhǔn)的制定目的主要有三個(gè)：一是為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)，二是為安全產(chǎn)品的研制提供技術(shù)支持，三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)，因此GB17859-1999及其配套的等級(jí)保護(hù)標(biāo)準(zhǔn)體系是綜合技術(shù)要求和管理要求的全面評(píng)估標(biāo)準(zhǔn)。

2.2 實(shí)施流程

BS7799主要遵循風(fēng)險(xiǎn)管理的思想，通過識(shí)別和評(píng)估風(fēng)險(xiǎn)來建立組織的信息安全管理體系（ISMS），并應(yīng)用PDCA模型對(duì)ISMS進(jìn)行實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持與改進(jìn)。首先根據(jù)組織的業(yè)務(wù)特征、地理位置、資產(chǎn)、技術(shù)等要素來確定ISMS的范圍和ISMS方針。組織對(duì)ISMS范圍內(nèi)的資產(chǎn)進(jìn)行風(fēng)險(xiǎn)識(shí)別后，通過風(fēng)險(xiǎn)分析選擇風(fēng)險(xiǎn)處理的控制目標(biāo)和控制方式。其次，實(shí)施和運(yùn)行ISMS。這一階段的工作主要包括實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、實(shí)施已選的控制措施、實(shí)施培訓(xùn)方案、管理ISMS的運(yùn)行、管理ISMS的資源、及時(shí)檢測(cè)、響應(yīng)安全事故等。再次，監(jiān)視和評(píng)審ISMS。組織應(yīng)執(zhí)行監(jiān)視和評(píng)審程序，定期審核ISMS的有效性，按照計(jì)劃的時(shí)間進(jìn)行風(fēng)險(xiǎn)評(píng)估并評(píng)估殘余風(fēng)險(xiǎn)的等級(jí)和已識(shí)別的可接受風(fēng)險(xiǎn)，記錄可能影響ISMS有效性或業(yè)績(jī)的措施和事件。最后，保持和改進(jìn)ISMS。主要包括采取適當(dāng)?shù)募m正和預(yù)防措施，總結(jié)組織取得的安全經(jīng)驗(yàn)教訓(xùn)，對(duì)已采取的措施和改進(jìn)意見與所有相關(guān)方進(jìn)行溝通等。

等級(jí)保護(hù)的實(shí)施主要包括五個(gè)步驟。第一步：信息系統(tǒng)定級(jí)。從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩大方面來確定定級(jí)對(duì)象的安全等級(jí)，形成定級(jí)報(bào)告。第二步：進(jìn)行基本安全需求分析，按照不同等級(jí)的評(píng)價(jià)指標(biāo)制定評(píng)估方案，對(duì)于重要資產(chǎn)進(jìn)行特殊安全需求分析并進(jìn)行綜合風(fēng)險(xiǎn)評(píng)估，形成總體安全規(guī)劃。第三步：從技術(shù)和管理兩大方面進(jìn)行安全設(shè)計(jì)并實(shí)施。第四步：安全運(yùn)行和維護(hù)。主要包括運(yùn)行管理控制、變更管理控制、安全狀態(tài)監(jiān)控、安全時(shí)間處置和應(yīng)急預(yù)案、安全檢查和持續(xù)改進(jìn)、等級(jí)測(cè)評(píng)等。第五步：信息系統(tǒng)終止。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí)，應(yīng)對(duì)有關(guān)信息進(jìn)行轉(zhuǎn)移、暫存和清除，對(duì)有關(guān)設(shè)備進(jìn)行遷移或廢棄，對(duì)存儲(chǔ)介質(zhì)進(jìn)行清除或銷毀。

BS7799與等級(jí)保護(hù)標(biāo)準(zhǔn)在安全需求分析階段的流程有所不同，見圖1和圖2。

圖1 BS7799安全需求分析流程

圖2 等級(jí)保護(hù)安全需求分析流程

BS7799遵循風(fēng)險(xiǎn)評(píng)估的方法，通過對(duì)ISMS范圍內(nèi)的資產(chǎn)、資產(chǎn)面臨的威脅、資產(chǎn)本身的脆弱性以及可能被威脅利用的脆弱點(diǎn)進(jìn)行識(shí)別，選擇適用于組織的風(fēng)險(xiǎn)評(píng)估方法或模型進(jìn)行風(fēng)險(xiǎn)估算，分析評(píng)價(jià)風(fēng)險(xiǎn)并選擇控制目標(biāo)和控制措施。

等級(jí)保護(hù)的安全需求分析首先是對(duì)信息系統(tǒng)進(jìn)行描述，主要包括系統(tǒng)邊界、網(wǎng)絡(luò)拓補(bǔ)、設(shè)備部署等，對(duì)于大型的信息系統(tǒng)要在綜合分析的基礎(chǔ)上進(jìn)行劃分，確定可作為定級(jí)對(duì)象的信息系統(tǒng)個(gè)數(shù)。信息系統(tǒng)的定級(jí)由受侵害客體和對(duì)客體的侵害程度兩個(gè)因素決定，通過綜合判定客體的受侵害程度來確定系統(tǒng)的安全保護(hù)等級(jí)。在等級(jí)確定之后從信息系統(tǒng)安全等級(jí)保護(hù)基本要求中選擇相應(yīng)的等級(jí)評(píng)價(jià)指標(biāo)，通過現(xiàn)場(chǎng)觀察、詢問、檢查、測(cè)試等方式進(jìn)行評(píng)估，確定信息系統(tǒng)安全保護(hù)的基本需求。對(duì)于有特殊保護(hù)要求的信息系統(tǒng)重要資產(chǎn)，其安全需求分析則采用風(fēng)險(xiǎn)評(píng)估的方法來進(jìn)行。

2.3 涵蓋范圍

BS7799-1（現(xiàn)為ISO/IEC27002） 包括10個(gè)主要的安全類別，匯集了33個(gè)安全控制目標(biāo)和127項(xiàng)安全控制措施，涉及信息安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)的獲取、開發(fā)和維護(hù)、信息安全事故管理、業(yè)務(wù)連續(xù)性管理和符合性規(guī)定等方面。

等級(jí)保護(hù)標(biāo)準(zhǔn)從技術(shù)和管理兩大方面對(duì)每一級(jí)的信息系統(tǒng)安全保護(hù)能力提出了不同的要求。技術(shù)要求主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等，管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等。總的來說，BS7799更多地體現(xiàn)了信息安全管理方面的要求，等級(jí)保護(hù)標(biāo)準(zhǔn)則全面地包含了管理和技術(shù)兩方面的要求。

2.4 實(shí)施對(duì)象與應(yīng)用現(xiàn)狀

BS7799覆蓋了所有類型的組織（如商業(yè)企業(yè)、政府機(jī)構(gòu)和非盈利組織），涉及的范圍遍布整個(gè)系統(tǒng)或組織，包括所有的信息系統(tǒng)及其外部接口。但是BS7799主要處理的是與IT系統(tǒng)相關(guān)的非技術(shù)問題，包括人員、過程、物理安全管理等，適用于各種類型的安全組織，公共的或私人的部門和任何商業(yè)環(huán)境。信息安全等級(jí)保護(hù)是我國(guó)信息安全保護(hù)的基本制度，GB17859-1999是我國(guó)第一部信息安全保護(hù)強(qiáng)制性國(guó)標(biāo)，主要保護(hù)國(guó)家重要領(lǐng)域的高級(jí)別信息系統(tǒng)、國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。國(guó)家實(shí)行信息系統(tǒng)安全等級(jí)保護(hù)的形式有國(guó)家意志、政府主導(dǎo)、科研單位和企業(yè)及社會(huì)廣泛參與等，涉及的部門有信息系統(tǒng)主管部門、信息系統(tǒng)運(yùn)營(yíng)、使用單位、安全服務(wù)提供方、安全產(chǎn)品提供方、測(cè)試評(píng)估機(jī)構(gòu)、信息安全監(jiān)管部門等。

2005年BS7799轉(zhuǎn)化為ISO/IEC27001至今世界上已有73個(gè)國(guó)家的5206家企業(yè)通過了ISO27001認(rèn)證。我國(guó)的等級(jí)保護(hù)工作也在逐步開展中。2005年12月28日公安部與國(guó)信辦下發(fā)《關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》，要求2006年在全國(guó)范圍內(nèi)開展信息安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作；在調(diào)研的基礎(chǔ)上，2006年6月15日公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦發(fā)布了《關(guān)于開展信息安全等級(jí)保護(hù)試點(diǎn)工作的通知》，試點(diǎn)單位包括北京、山西、上海等13個(gè)省、市、自治區(qū)以及中組部、中聯(lián)部、航天科技集團(tuán)等3個(gè)部門。[4]試點(diǎn)工作驗(yàn)證了等級(jí)保護(hù)工作理論政策的正確性，并對(duì)有關(guān)標(biāo)準(zhǔn)提出了很多修改意見，有助于標(biāo)準(zhǔn)的進(jìn)一步成熟與完善。

2.5 標(biāo)準(zhǔn)的綜合應(yīng)用

BS7799-2轉(zhuǎn)化為ISO/IEC27001:2005之后，采用與ISO9001、ISO14001等國(guó)際知名管理體系標(biāo)準(zhǔn)相同的風(fēng)格，使組織的信息安全管理體系更容易和其他管理體系相協(xié)調(diào)，有利于管理的標(biāo)準(zhǔn)化和規(guī)范化。但是BS7799也有其自身存在的問題。首先，在BS7799的10個(gè)核心控制領(lǐng)域中，沒有對(duì)任何一個(gè)領(lǐng)域或控制目標(biāo)的權(quán)重分配，因此在進(jìn)行風(fēng)險(xiǎn) 評(píng)估時(shí)，沒有一個(gè)標(biāo)準(zhǔn)依據(jù)來對(duì)這127項(xiàng)控制目標(biāo)進(jìn)行加權(quán)，不同的評(píng)估人員得出的評(píng)估結(jié)果可能也不相同。其次，BS7799中沒有劃分評(píng)估等級(jí)，無法體現(xiàn)對(duì)重要信息系統(tǒng)的重點(diǎn)保護(hù)，特別是面對(duì)一個(gè)大型的信息系統(tǒng)時(shí)，識(shí)別所有的資產(chǎn)及威脅要耗費(fèi)大量的時(shí)間。因此組織在實(shí)施BS7799的過程中，可以學(xué)習(xí)和借鑒等級(jí)保護(hù)、重點(diǎn)保護(hù)的原則，對(duì)大型的信息系統(tǒng)先進(jìn)行系統(tǒng)劃分，選出支持關(guān)鍵業(yè)務(wù)的重要信息系統(tǒng)，在此基礎(chǔ)上再進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全需求分析。

等級(jí)保護(hù)的定級(jí)主要是通過對(duì)受侵害客體和客體的受侵害程度兩個(gè)因素來綜合評(píng)定的，基本安全需求的確定主要是通過等級(jí)保護(hù)基本要求中相應(yīng)等級(jí)的指標(biāo)來綜合評(píng)價(jià)。但是對(duì)于重要信息系統(tǒng)來說，簡(jiǎn)單的觀察、詢問、測(cè)試以及指標(biāo)評(píng)價(jià)無法滿足其特殊安全保護(hù)的需求，在此可以借鑒BS7799中風(fēng)險(xiǎn)評(píng)估的方法，對(duì)重要資產(chǎn)進(jìn)行分析，對(duì)其脆弱點(diǎn)和面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，進(jìn)行綜合風(fēng)險(xiǎn)分析，最終確定其風(fēng)險(xiǎn)等級(jí)，實(shí)行相應(yīng)的保護(hù)措施。

3 結(jié)束語

通過BS7799與等級(jí)保護(hù)標(biāo)準(zhǔn)的對(duì)比研究，發(fā)現(xiàn)兩類標(biāo)準(zhǔn)在內(nèi)容、發(fā)展歷程、實(shí)施流程、涵蓋范圍、實(shí)施對(duì)象及應(yīng)用現(xiàn)狀方面各有優(yōu)勢(shì)，可以相互借鑒。建議我國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織工作組，細(xì)化等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)BS7799標(biāo)準(zhǔn)的借鑒內(nèi)容，為ISO/IEC提供來自中國(guó)的建議稿，提升中國(guó)在國(guó)際標(biāo)準(zhǔn)中的地位。

[1] ISO/IEC17799：2005,Information Technology-Code of Practice for Information Security Management[S].2005：4－12.

[2] ISO/IEC27001：2005,Information Technology-Security Techniques-Information Security Management Systems-Requirements[S].2005：11－14.

[3]GB 17859.計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 [S].1999：1－6.

[4]崔書昆.解讀信息安全等級(jí)保護(hù)有關(guān)文件[J].信息網(wǎng)絡(luò)安全，2007（12）：14－15.